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Abstract: Disclosed is a method for monitoring the functions and increasing the operationai reliability of a complex safety- 
relevant control system, e.g. a motor vehicle control system such as a brake system (ABS, ASR, ESP, EHB, EMB), a steering aid 
(steering by wire), etc., and for detecting and evaluating system errors. The inventive method comprises the following steps: - a 
system error is detected and evaluated as a group error; - a complete or partial system degradation corresponding to the group em>r is 
^5 caused, i.e. the system functions and the system availability are restricted; - the system enx)r and the source of the error are defined by 
f^l means of tests, a logical combination of the test results, plausibility considerations, etc.; and - the restrictions of the system functions 
are gradually canceled and the system availability is increased according to the result of the individual steps used for defining or 
localizing the system error and the source of the error. 
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(57) Zusanunenfassung: Ein Verfahren zum Uberwachen der Funktionen und Erhdhen der Betriebssicherheit eines komplexen 
sicherheitsrelevanten Regelungssystems, z.B. eines Kraftfahrzeugregelungssystems, wie eines Bremsensystenis(ABS, ASR, ESP, 
EHB, EMB), einerLenkhilfe ("Steering-By-Wire") etc., sowie zum Erkennen und Auswerten von Systemfehlem umfasstdie Schritte: 
- Erkennen eines Systemfehlers und Bewertung als Gmppenfehler, - Herbeifuhren einer vollstandigen oder einer dem Gruppenfehler 
entsprechenden teilweisen Systemdegradation, d.h. Einschrankung der Systemfunktionen und der Systemverfugbarkeit,- Eingren- 
zung des Systemfehlers und der Fehlenquelle durch Tests, logische Verknupfung der Testergebnisse, Plausibilitatsbetrachtungen etc., 
und - schrittweise Aufhebung der Einschrankungen der Systemfunktionen und Erhohung der Systemverfugbarkeit in Abhangigkeit 
von dem Eigebnis der einzelnen Schritte zur Eingrenzung bzw. Lokalisierung des Systemfehlers und der Fehlerquelle. 
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Verfahren zum Ubezrwachen der Funk-bionen und Erhohen der Be- 
trxebsslcherhell^ exnes sicherhex-bsrelevan-ben Regelungssys'tems 

Die Erfindung bezieht sich auf ein Verfahren zum Oberwachen 
der Funktionen und Erh5hen der Betriebssicherheit eines kom- 
plexen sicherheitsrelevanten Regelungssystems^ z.B. eines 
Kraftf ahrzeugregelungssystems, wie eines ABS, ASR, ESP, eines 
"Brake-By-Wire"-Systems (EHB^EMB) , eines "Steering-By-Wire"- 
Systems etc., sowie zum Erkennen und Auswerten von Systemfeh- 
lern. 

Sicherheitsrelevante Systeme, zu denen die vorgenannten 
Kraftf ahrzeugregelungssysteme zahlen, erfordern MaJinahmen zur 
Sicherung einer definierten Funktionsweise auch im Falle er- 
kannter Systemf ehler . Es ist oft nicht moglich, einen erkann- 
ten Fehler im Normalbetrieb direkt einer Systemkomponente zu- 
zuordnen. Solche Fehler, auch Gruppenf ehler genannt, tragen 
meistens nur die Aussage, dass eine bestimmte physikalische 
GroBe im System nicht eingehalten werden konnte. Erst die 
Durchfuhrung spezieller Tests, auch Fehlerlokalisierung ge- 
nannt, erm5glicht es, die fehlerhafte Systemkomponente zu i- 
dentif izieren (das bedeutet die Umwandlung des Gruppenf ehlers 
in einen Einzelf ehler ) und die passende Fehlerauswirkung 
(durch angemessene Systemdegradation) herbeizuf tihren. 

Bevor die Fehlerlokalisierung erfolgreich abgeschlossen wer- 
den kann (in manchen Fallen tritt dieses Ereignis verspatet 
ein Oder eine Fehlerlokalisierung ist nicht moglich, well 
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beispielsweise Unterspannung vorliegt oder well ein frUherer 
Fehler die Nutzung der ftir die Testdurchftlhrung notwendigen 
Systemkomponenten ausschliefit) , befindet sich das System in 
einem undef inierten Zustand: Man hat zwar Kenntnis von einem 
Fehlerzustand genommen, ist aber nicht in der Lage, die pas- 
sende Systemauswirkung herbeizuf Uhren. 

Die Losung dieses Problems wird heute in diversen Fehlerana- 
lyseverfahren gesucht^ die als Ergebnis der Erstf ehlerbe- 
trachtung eine Entscheidungsmatrix ("Fehler -> Systemauswir- 
kung") liefern, mit der die Auswirkungen der Fehler auf die 
Funktionen des System erfasst werden. Gruppenf ehler gehOren 
hierbei zu den besonders schwierigen AnalysefSllen^ da sie 
auf Fehler vieler Systemkomponenten gleichzeitig zuruck fUh- 
ren k5nnen. Aus diesem Grund ist es hSufig unmOglich, die 
Auswirkungen eines Gruppenf ehlers zu bewerten und eine zu- 
friedenstellende pauschale Systemdegradationsstuf e ftir den 
Gruppenf ehler aufzufinden. Der andere Nachteil dieses Lo- 
sungsansatzes besteht darin^ dass der Obergang von der pau- 
schalen zu der individuellen Einzelf ehlerauswirkung nur nach 
einem erf olgreichen Abschluss der Fehlerlokalisierung moglich 
ist- VerzSgert sich die Lokalisierung auf grund von temporfiren 
Ereignissen oder wird sie aufgrund friiher eingetretener Feh- 
ler gar verhindert, so kommt die pauschale und meist schwer- 
wiegende^ weitgehende Systemdegradation zxim Dauereinsatz . 
Dies wirkt sich wiederum nachteilig auf die Systemverf ligbar- 
keit und Systemsicherheit aus. 

Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, 
ein Verfahren zu entwickeln^ das einerseits beim Auftreten 
von Systemfehlern das Regelungssystem in jeder Phase in einem 
definierten Zustand halt und das andererseits die Auswirkun- 
gen des Systemf ehlers auf die Regelung minimiert. 
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Es hat sich herausgestellt , dass diese Aufgabe mit dem im 
beigeftigten Patentanspruch genannten Verfahren gelOst werden 
kann, das im wesentlichen auf den folgenden Schritten beruht: 

- Erkennen eines Systemf ehlers und Bewertung als Gruppenfeh- 
ler^ 

- Herbeiftihren einer vollstandigen oder einer dem Gruppenfeh- 
ler entsprechenden teilweisen Systemdegradation, d.h. Ein- 
schrankung der Systemfunktionen und der Systemverf iigbar- 
keit, 

- Eingrenzung des Systemf ehlers und der Fehlerquelle durch 
Tests ^ logische Verkntipfung der Testergebnisse, Plausibili- 
tatsbetrachtungen etc., und 

- schrittweise Aufhebung der Einschrankungen der Systemfunk- 
tionen und Erh5hung der Systemverf ligbarkeit in AbhSngigkeit 
von dem Ergebnis der einzelnen Schritte zur Eingrenzung 
bzw. Lokalisierung des Systemf ehlers und der Fehlerquelle. 

Mit dem erf indungsgemaBen Verfahren wird also beim Auftreten 
von Fehlern bereits vor einer Identif izierung des Fehlers die 
Aufrechterhaltung der definierten Funktion des Systems si- 
chergestellt und sofort danach im Zuge der Fehlerlokalisie- 
rung ftir eine Minimierung der Fehlerauswirkungen Sorge getra- 
gen, 

Weitere Merkmale, Vorteile und Einzelheiten der Erfindung ge- 
hen aus der folgenden Beschreibung sowie aus den beigefiigten 
Abbildungen hervor. 

Es zeigen 

Fig. 1 schematisch vereinfacht und beispielhaft die einzel- 
nen Schritte beim Auftreten eines Gruppenf ehlers bis 
zur Lokalisierung des Einzelf ehlers^ 
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Fig. 2 und 

Fig. 3 in gleicher Darstellungsweise wie Fig. 1 spezielle 
Lokalisierungsschritte fur das Ausftihrungsbeispiel 
nach Fig. 1. 

Die Figuren 1-3 veranschaulichen die prinzipielle Arbeits- 
und Wirkungsweise des erf indungsgemafien Verfahrens anhand ei- 
nes vereinfacht dargestellten Ausf tihrungsbeispiels der Erfin- 
dung . 

Erf indungsgemafi werden die Auswirkungen eines Gruppenf ehlers 
GF^ siehe Fig. 1^ zunachst einer Superposition der Auswirkun- 
gen aller Einzelfehler Fl bis F6 gleichgesetzt . Beim Auftre- 
ten des Gruppenf ehlers GF wird daher zunSchst das gesamte 
System degradiert. Die Systemdegradation wird als Superposi- 
tion der Auswirkungen der Einzelfehler Fl - F6 berechnet. Da- 
nach wird die Systemdegradation, d.h. die EinschrSnkung der 
Systemfunktionen und der Systemverfiigbarkeit infolge des 
Gruppenfehlers GF, in Abhangigkeit von dem Fortschritt der 
Lokalisierung des Einzelf ehlers Fl bis F6 wieder aufgehoben. 

Der Gruppenfehler GF lost in dem Ausftihrungsbeispiel nach 
Fig. 1 drei parallel laufende Lokalisierungen Lll, L21 und 
L31 aus- Jede dieser Lokalisierungen kann im nachsten Schritt 
zur Lokalisierung von jeweils zwei Einzelf ehlern Fl, F2; F3, 
F4; F5, F6 fiihren. Vor dem Abschluss des ersten Lokalisie- 
rungsschritts (Lll, L21, L31) wird die Systemdegradation als 
Superposition der Auswirkungen der Einzelfehler Fl - F6 be- 
st immt. 

Der erste Lokalisierungsschritt (Lll, L21, L31) ftihrt im Bei- 
spiel nach Fig. 2 zu dem Ergebnis, dass nur im Bereich der 
Lokalisierung L21 ein Fehler vorliegen kann. Die Lokalisie- 
rungen Lll und L31 zeigen keine Auf f alligkeiten; die Einzel- 
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fehlerquellen Fl^ F2 und F5^ F6 scheiden aus. Die vor diesem 
ersten Lo kalis ierungsschritt eingeleiteten Einschrankungen 
der Systemfunktionen und der Systemverftigbarkeit kOnnen ent- 
sprechend der Erkenntnis, dass nur noch F3, F4 als Fehler- 
quellen in Frage kommen^ reduziert werden. Nach dem Abschluss 
des zweiten Lokalisierungsschritts wird die Systemdegradation 
als Superposition der Auswirkungen der Einzelfehler F3 und F4 
berechnet . 

Die Lokalisierung wird fortgesetzt. Hierauf bezieht sich Fig. 
3. Nach Abschluss dieses zweiten Lokalisierungsschrittes 
steht ira Beispiel nach Fig. 3 fest, dass nur ein Einzelfehler 
F3 im System vorhanden ist. Die Systemdegradation ergibt sich 
direkt aus der Auswirkung des Einzelf ehlers F3. 

Die Eingrenzung des Systemf ehlers bzw. die Lokalisierung der 
Fehlerquelle erfolgt auf Basis bekannter Methoden und 
Schlussfolgerungen sehr unterschiedlicher Art, z,B. durch 
Tests, logische VerknUpfung der Testergebnisse^ Plausibili- 
tatsbetrachtungen etc.. 

Gegenstand der Erfindung ist also ein ftir den Einsatz in 
technischen Anwendungen unterschiedlicher Art geeignetes Ver- 
fahren, das die M5glichkeit bietet, die Systemdegradation ei- 
nes beliebigen sicherheitskritischen Systems wahrend der auf- 
grund auf getretener Gruppenf ehler laufenden Lokalisierungen 
dynamisch zu minimieren. Dieses in jeder Techniksparte an- 
wendbare Verfahren erhOht erheblich die Systemverftigbarkeit 
und gewahrleistet letztendlich eine entscheidend hohere Sys- 
temsicherheit als die heute gangigen Verfahren, die sich auf 
die schwer def inierbare pauschale Auswirkung der Gruppenfeh- 
ler stiitzen. 
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Durch die schrittweise Fehlerlokalisierung wird erreicht, 
dass die anfangliche Systemdegradation aufgrund eines Grup- 
penfehlers dauernd und flieliend minimiert wird, bis die Ebene 
des erkannten Einzelfehlers erreicht wird. Wird die Lokali- 
sierung aufgrund temporSrer Ereignisse verzSgert Oder auf- 
grund frtlherer Fehler gar abgebrochen, beschrankt sich die 
Systemdegradation auf die Auswirkungen der (noch) nicht aus- 
geschlossenen Einzelfehlern. 

Das erfindungsgemaBe Verfahren bringt im Vergleich zu den 
bisherigen Verfahren unter anderem folgende Vorteile: 

Die Auswirkung eines Gruppenf ehlers ergibt sich automatisch 
aus der Summe der leicht def inierbaren Auswirkungen fur kor- 
relierte Einzelf ehler . Eine Fehleranalyse ftir Gruppenf ehler 
entfailt. 

Die Auswirkungen eines Gruppenf ehlers werden mit dem Fortgang 
der Lokalisierungen abgeschwacht ; das System erfahrt dyna- 
misch eine erhebliche Steigerung der Verf Ugbarkeit und Si- 
cherheit . 

Der Fall, dass ein Gruppenf ehler nicht zu Ende lokalisiert 
werden konnte, bedarf keiner gesonderten Behandlung. 
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Patentanspruch : 

Verfahren zum Oberwachen der Funktionen und ErhOhen der Be- 
triebssicherheit eines komplexen sicherheitsrelevanten Rege- 
lungs systems/ z,B. eines Kraftf ahrzeugregelungssystems, wie 
eines ABS, ASR, ESP^ eines "Brake~By-Wire"-Systems (EHB^EMB), 
eines "Steering-By-Wire"-Systeins etc., sowie zum Erkennen und 
Auswerten von Systemf ehlern, 
gekennzelchne-t durch die Schritte: 

- Erkennen eines Systemf ehlers und Bewertung als Gruppenfeh- 
ler, 

- Herbeiftihren einer vollstandigen oder einer dem Gruppen- 
fehler entsprechenden teilweisen Systemdegradation, d.h. 
Einschrankung der Systemfunktionen und der Systemverf Qgbar- 
keit/ 

- Eingrenzung des Systemf ehlers und der Fehlerquelle durch 
Tests, logische Verkntipfung der Testergebnisse, Plausibili- 
tatsbetrachtungen etc., und 

- schrittweise Aufhebung der Einschrankungen der Systemfunk- 
tionen und Erhohung der Systemverf ligbarkeit in Abhangigkeit 
von dem Ergebnis der einzelnen Schritte zur Eingrenzung 
bzw. Lokalisierung des Systemf ehlers und der Fehlerquelle. 
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(57) Abstract: Disclosed is a method for monitoring the functions and increasing the operational reliability of a complex safety- 
^? relevant control system, e.g. a motor vehicle control system such as a brake system (ABS, ASR, ESP, EHB, EMB), a steering aid 
-^^^^ (steering by wire), etc., and for detecting and evaluating system errors. The inventive method comprises the following steps: - a 
^ system error is detected and evaluated as a group error; - a complete or partial system degradation corresponding to the group error is 
caused, i.e. the system functions and the system availability are restricted; - the system error and the source of the error are defined by 
means of tests, a logical combination of the test results, plausibility considerations, etc.; and - the restrictions of the system functions 
are gradually canceled and the system availability is increased according to the result of the individual steps used for defining or 
localizing the system error and the source of the error. 
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